Scoperte 5 vulnerabilità nei server Microsoft, a rischio l’infrastruttura cloud: tutti i dettagli

Sono state individuate 5 vulnerabilità relative ai server dell’infrastruttura IT di Microsoft: a fare la scoperta, il team di Cybersecurity e bug hunting dell’azienda italiana Swascan.

Gli analisti hanno distribuito le vulnerabilità per livelli di rischio:

• alto 3;
• medio 1;
• basso 1;

sottolineando che, se sfruttate, tutte e cinque le debolezze avrebbero potuto consentire ad un attaccante di compromettere l’integrità, la disponibilità e la riservatezza del sistema.

Si tratta, dunque, di una scoperta particolarmente importante considerando che l’infrastruttura IT di Microsoft consente il corretto funzionamento di tutta la linea di sistemi operativi Windows e della suite Microsoft Office, oltre che dei numerosi servizi cloud offerti dalla casa di Redmond.

Vulnerabilità nei server Microsoft: i dettagli tecnici

Le 5 vulnerabilità nei server Microsoft svelate dagli analisti Swascan potrebbero consentire ad un eventuale attaccante di eseguire codice arbitrario, leggere e divulgare informazioni sensibili, modificare l’esecuzione dei processi applicativi e, nei casi più gravi, causare il crash del sistema.

In particolare, le debolezze individuate riguardano i seguenti moduli software:

• CWE – 119: il software esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer. Alcuni linguaggi consentono l’indirizzamento diretto delle allocazioni di memoria e non garantiscono automaticamente che queste posizioni siano valide per il buffer di memoria a cui si fa riferimento.
  Ciò può causare operazioni di lettura o scrittura su allocazioni di memoria che possono essere associate ad altre variabili, strutture dati o dati di programma interni. Di conseguenza, un aggressore può essere in grado di eseguire codice arbitrario, alterare il flusso di controllo previsto, leggere informazioni sensibili o causare il crash del sistema.

• CWE-94: Il software costruisce tutto o parte di un segmento di codice utilizzando input influenzati esternamente da un componente a monte, ma non neutralizza – o lo fa in modo errato – elementi speciali che potrebbero modificare la sintassi o il comportamento del segmento di codice previsto. Quando il software permette all’input di un utente di contenere la sintassi del codice, potrebbe essere possibile per un potenziale aggressore creare il codice in modo tale da alterare il flusso di controllo previsto del software. Una tale alterazione potrebbe portare ad un’esecuzione arbitraria del codice.
  I problemi di “code injection” comprendono un’ampia varietà di problematiche – tutte attenuate in modi molto diversi. Per questo motivo, il modo più efficace per discutere queste debolezze è quello di notare le distinte caratteristiche che le classificano come debolezze del “code injection”. Uno degli aspetti più intriganti è che tutti i problemi in questo campo condividono una cosa in comune: permettono l’iniezione di dati del “control plane” nel piano dati controllato dall’utente.
  Ciò significa che l’esecuzione del processo può essere modificata inviando codice attraverso canali dati legittimi, senza utilizzare altri meccanismi. Mentre i buffer overflow, e molti altri difetti, comportano l’uso di qualche ulteriore problema per ottenere l’esecuzione, i problemi di iniezione richiedono solo l’analisi dei dati. Le istanze più classiche di questa categoria di debolezza sono gli attacchi di tipo SQL injection e le vulnerabilità delle stringhe di formato.

• CWE-200: Una “information exposure” consiste nella divulgazione intenzionale o non intenzionale di informazioni ad un attore che non è esplicitamente autorizzato ad avere accesso a tali informazioni.
  Le informazioni possono essere di due tipi:

1. sensibili nell’ambito delle funzionalità proprie del prodotto, come per esempio un messaggio privato;
2. sensibili perché forniscono informazioni sul prodotto o sul suo ambiente che potrebbero essere utili in un attacco, ma che normalmente non sono disponibili per l’aggressore, come per esempio il percorso di installazione di un prodotto accessibile a distanza.

L’importanza della cooperazione in ambito cyber security

Le 5 vulnerabilità scoperte nei server dell’infrastruttura IT di Microsoft sono già state corrette in quanto, subito dopo aver scoperto queste informazioni cruciali, gli analisti Swascan le hanno condivise con gli esperti di sicurezza, di reverse engineering e i programmatori che lavorano con Microsoft.

Lo scopo di Swascan, infatti, non è quello di individuare e pubblicare i PoC (Proof of Concept) delle vulnerabilità identificate che potrebbero consentire ai criminal hacker di riproporre l’attacco, quanto piuttosto quello di sottolineare l’importanza di una reale cooperazione tra i fornitori di software e le società di cyber security.

Solo così è possibile erigere un argine contro i sempre più pericolosi attacchi informatici che sempre più spesso mirano a compromettere i sistemi informatici per rubare dati sensibili da cui estrarre informazioni dall’elevato valore economico.

“L’attenzione di Microsoft ai risultati dei test di Swascan, insieme agli scambi di e-mail e alle attività di valutazione, hanno portato a una delle collaborazioni più serie, professionali e trasparenti che siamo stati in grado di realizzare nelle nostre carriere. Per questi motivi, il team Swascan desidera congratularsi Questo caso riflette perfettamente la necessità di collaborazione tra le società di sicurezza informatica (Swascan) e i fornitori (il team di Microsoft)”, è quanto ha dichiarato Pierguido Iezzi, Co-founder di Swascan.

“I CERT, Security Response Center e PSIRT”, continua Iezzi, “giocano un ruolo chiave nell’ecosistema della sicurezza nel mondo digitale in cui viviamo oggi. La nostra speranza è quella di trovare team sempre più preparati, proprio come il team del Microsoft Security Response Center, che ha dimostrato un comportamento esemplare oltre a una incredibile attenzione e cura per i propri clienti”.